【安全通告】Apache Tomcat Session反序列化代码执行漏洞通告(CVE-2020-9484)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache官方披露了一个通过持久化Session可能导致远程代码执行的漏洞(CVE-2020-9484),攻击者可利用该漏洞构造恶意请求,实施反序列化代码执行攻击。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
经分析,该漏洞利用存在多个条件限制:
1)攻击者可以控制服务器上的文件名/文件内容;
2)服务器上配置使用了 PersistenceManager 的 FileStore;
3)PersistenceManager配置了 sessionAttributeValueClassNameFilter 值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;
4)攻击者知道 FileStore 使用的存储位置到可控文件的相对路径。
在同时满足以上4个条件时,攻击者可以发送一个恶意构造的请求,来造成反序列化代码执行漏洞。
风险等级
中风险
漏洞风险
若服务器存在上述弱配置,攻击者利用后可获取系统命令执行权限
影响版本
Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104
修复版本
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
修复建议
1. 请受影响的用户尽快升级版本进行防护,官方下载链接:
Apache Tomcat 10.0.0-M5:https://tomcat.apache.org/download-10.cgi
Apache Tomcat 9.0.35:https://tomcat.apache.org/download-90.cgi
Apache Tomcat 8.5.55:https://tomcat.apache.org/download-80.cgi
Apache Tomcat 7.0.104:https://tomcat.apache.org/download-70.cgi
2. 不方便升级的用户,建议暂时禁用 FileStore 功能,或单独配置 sessionAttributeValueClassNameFilte 的值来确保只有特定属性的对象可以被序列化/反序列化。
漏洞参考
1)官方更新通告:https://tomcat.apache.org/security.html
2)社区漏洞报告:https://seclists.org/oss-sec/2020/q2/136